Introduction
Ce document décrit la configuration d'une liste de contrôle d'accès dynamique (dACL) par utilisateur pour les utilisateurs présents dans un type de magasin d'identités.
Conditions préalables
Exigences
Cisco recommande que vous ayez connaissance de la configuration des stratégies sur Identity Services Engine (ISE).
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Identity Services Engine 3.0
- Microsoft Windows Active Directory 2016
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
La configuration d'une liste de contrôle d'accès dynamique par utilisateur est destinée aux utilisateurs présents dans le magasin d'identité interne ISE ou dans un magasin d'identité externe.
Configurer
La dACL par utilisateur peut être configurée pour n'importe quel utilisateur du magasin interne qui utilise un attribut d'utilisateur personnalisé. Pour un utilisateur dans Active Directory (AD), n'importe quel attribut de type chaîne peut être utilisé pour obtenir le même résultat. Cette section fournit les informations requises pour configurer les attributs sur ISE et AD, ainsi que la configuration requise sur ISE pour que cette fonctionnalité fonctionne.
Configurer un nouvel attribut d'utilisateur personnalisé sur ISE
Accédez à Administration > Identity Management > Settings > User Custom Attributes. Cliquez sur le bouton +, comme illustré dans l'image, pour ajouter un nouvel attribut et enregistrer les modifications. Dans cet exemple, le nom de l'attribut personnalisé est ACL.
![Configure a New Custom User Attribute on ISE](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-00.png)
Configurer dACL
Afin de configurer les ACL téléchargeables, naviguez vers Policy > Policy Elements > Results > Authorization > Downloadable ACLs. Cliquez sur Add. Fournissez un nom et le contenu de la dACL et enregistrez les modifications. Comme l'illustre l'image, le nom de la dACL est NotMuchAccess.
![Configure dACL](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-01.png)
Configurer un compte utilisateur interne avec l'attribut personnalisé
Accédez à Administration > Identity Management > Identities > Users > Add. Créez un utilisateur et configurez la valeur d'attribut personnalisée avec le nom de la dACL que l'utilisateur doit obtenir lorsqu'il est autorisé. Dans cet exemple, le nom de la dACL est NotMuchAccess.
![Configure an Internal User Account with the Custom Attribute](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-02.png)
Configurer un compte d'utilisateur AD
Dans Active Directory, accédez aux propriétés du compte d'utilisateur, puis à l'onglet Éditeur d'attributs. Comme l'illustre l'image, aCSPolicyName est l'attribut utilisé pour spécifier le nom de la liste de contrôle d'accès. Cependant, comme mentionné précédemment, tout attribut qui peut accepter une valeur de chaîne peut également être utilisé.
![Configure a AD User Account](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-03.png)
Importer l'attribut d'AD vers ISE
Pour utiliser l'attribut configuré sur AD, ISE doit l'importer. Pour importer l'attribut, accédez à Administration > Identity Management > External Identity Sources > Active Directory > [Point de connexion configuré] > onglet Attributes. Cliquez sur Add, puis sur Select Attributes From Directory. Fournissez le nom du compte d'utilisateur sur AD, puis cliquez sur Récupérer les attributs. Sélectionnez l'attribut configuré pour la dACL, cliquez sur OK, puis cliquez sur Save. Comme l'illustre l'image, aCSPolicyName est l'attribut.
![Use Attribute Configured on AD to Import the Attribute from AD to ISE](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-04.png)
![Import Complete](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-05.png)
Configuration des profils d'autorisation pour les utilisateurs internes et externes
Afin de configurer les profils d'autorisation, accédez à Policy > Policy Elements > Results > Authorization > Authorization Profiles. Cliquez sur Add. Fournissez un nom et choisissez le nom de la dACL comme InternalUser:<nom de l'attribut personnalisé créé> pour l'utilisateur interne. Comme l'illustre l'image, pour l'utilisateur interne, le profil InternalUserAttributeTest est configuré avec la dACL configurée comme InternalUser : ACL.
![Configure Authorization Profiles for Internal and External Users](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-06.png)
Pour l'utilisateur externe, utilisez <Join point name>:<attribute configured on AD> comme nom dACL. Dans cet exemple, le profil ExternalUserAttributeTest est configuré avec la dACL configurée comme RiniAD : aCSPolicyName où RiniAD est le nom du point de jonction.
![Profile ExternalUserAttributeTest is Configured with the dACL](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-07.png)
Configurer les stratégies d'autorisation
Les stratégies d'autorisation peuvent être configurées dans Policy > Policy Sets en fonction des groupes dans lesquels l'utilisateur externe est présent sur AD et également en fonction du nom d'utilisateur dans le magasin d'identité interne ISE. Dans cet exemple, testuserexternal est un utilisateur présent dans le groupe rinsantr.lab/Users/Test Group et testuserinternal est un utilisateur présent dans le magasin d'identités interne ISE.
![Configure Authorization Policies](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-08.png)
Vérifier
Utilisez cette section pour vérifier si la configuration fonctionne.
Vérifiez les journaux RADIUS en direct pour vérifier les authentifications des utilisateurs.
Utilisateur interne :
![Check the RADIUS Live Logs to Verify the User Authentications - Internal User](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-09.png)
Utilisateur externe :
![Check the RADIUS Live Logs to Verify the User Authentications - External User](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-10.png)
Cliquez sur l'icône en forme de loupe sur les authentifications d'utilisateurs réussies pour vérifier si les demandes correspondent aux stratégies correctes dans la section Vue d'ensemble des journaux en direct détaillés.
Utilisateur interne :
![Verify if Requests Hit the Correct Policies in the Overview Section of the Detailed Live Logs - Internal User](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-11.png)
Utilisateur externe :
![Verify if Requests Hit the Correct Policies in the Overview Section of the Detailed Live Logs - External User](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-12.png)
Consultez la section Autres attributs des journaux en direct détaillés pour vérifier si les attributs utilisateur ont été récupérés.
Utilisateur interne :
![Verify if the User Attributes have been Retrieved - Internal User](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-13.png)
Utilisateur externe :
![Verify if the User Attributes have been Retrieved - External User](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-14.png)
Consultez la section Résultat des journaux en direct détaillés pour vérifier si l'attribut dACL est envoyé dans le cadre d'Access-Accept.
![Verify if dACL Attribute is Sent as Part of Access-Accept](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-15.png)
Vérifiez également les journaux RADIUS en direct pour vérifier si la dACL est téléchargée après l'authentification de l'utilisateur.
![Verify if the dACL is Downloaded after the User Authentication](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-16.png)
Cliquez sur l'icône en forme de loupe sur le journal de téléchargement de dACL réussi et vérifiez la section Overview pour confirmer le téléchargement de dACL.
![Verify the Overview Section to confirm the dACL Download](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-17.png)
Consultez la section Résultat de ce rapport détaillé pour vérifier le contenu de la dACL.
![Verify the Contents of the dACL](/c/dam/en/us/support/docs/security/identity-services-engine/212419-configure-per-user-dynamic-access-contro-18.png)
Dépannage
Il n’y a actuellement aucune information spécifique disponible pour dépanner cette configuration.